Пользователи LDAP как OU
Создание пользователей как контейнерные объекты (принимающий это действительно, что произошло, в противоположность изменению атрибута именования от cn = к ou =, который является в основном непримечательным событием) действительно имеет некоторые интересные преимущества.
Была система PBX (я думаю Nortel, но я не вспоминаю теперь), что, когда она использовала LDAP для хранения пользователей и телефонной информации, она создала пользователей как контейнерные объекты.
Это повреждает все виды вещей, но усиление - то, что Пользовательский объект может содержать объекты конфигурации. Это позволяет другую логическую группировку, чем обычно обрабатывается.
Вместо того, чтобы добавить атрибуты для конфигурации или присвоить эквивалентность состава группы к некоторому объекту конфигурации, это позволяет Вам сохранить конфигурацию как объекты.
Я думаю, что Citrix имеет подход, где он делает это также, для хранения некоторых персонализированных настроек.
С одной стороны, OU (organizationalUnit) не имеет shadowAccount objectClass, для истекающих паролей/учетных записей, и т.д.
Где как, с обычной учетной записью, Вы получаете все атрибуты, которые идут с каждым из этих objectClasses: человек, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount
Они определяются в:/etc/openldap/schema/
Можно ли описать среду немного больше?
-
1таким образом, Вы имеете в виду, которые, возможно, создают пользователей LDAP, поскольку OU хорошо постараться не иметь тень средств управления тенью пароля, истекают, shadowmin, shadownmax и так далее? – VP. 28 May 2010 в 14:54
В универсальном случае можно изменить схему, как Вы хотите. Это может быть ou=john, user=john, unicorn=john, и т.д.; но это против конвенции. Я сказал бы, что администратор не сделал никому одолжение.
-
1я знаю, что могу, я просто хочу знать, который делают преимущества у меня есть выполнение его.. я не вижу никого, но возможно i' m пропавшие без вести чего-то. – VP. 28 May 2010 в 14:54
-
2